JP2022115518A - Information processing program, information processing method, and information processing device - Google Patents

Information processing program, information processing method, and information processing device Download PDF

Info

Publication number
JP2022115518A
JP2022115518A JP2021012143A JP2021012143A JP2022115518A JP 2022115518 A JP2022115518 A JP 2022115518A JP 2021012143 A JP2021012143 A JP 2021012143A JP 2021012143 A JP2021012143 A JP 2021012143A JP 2022115518 A JP2022115518 A JP 2022115518A
Authority
JP
Japan
Prior art keywords
training
data
machine learning
learning model
training data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021012143A
Other languages
Japanese (ja)
Inventor
裕二 樋口
Yuji Higuchi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2021012143A priority Critical patent/JP2022115518A/en
Priority to EP21213116.3A priority patent/EP4036776A1/en
Priority to US17/554,048 priority patent/US20220237512A1/en
Publication of JP2022115518A publication Critical patent/JP2022115518A/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Computing Systems (AREA)
  • Bioethics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Molecular Biology (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Machine Translation (AREA)
  • Image Analysis (AREA)

Abstract

To generate a machine learning model that is resistant to white-box attacks on training data estimation.SOLUTION: A first machine learning model A trained with first training data is used to mechanically generate meaningless data as an initial value to create additional data. The first training data and the additional data are combined to create second training data. The second training data is used to train the machine learning model.SELECTED DRAWING: Figure 4

Description

本発明は、情報処理プログラム,情報処理方法および情報処理装置に関する。 The present invention relates to an information processing program, an information processing method, and an information processing apparatus.

近年、機械学習を用いたシステムの開発および利用が急速に進んでいる。その一方で、機械学習を用いたシステムに固有のセキュリティ問題も様々に見つかっている。例えば、機械学習に用いられた訓練データを推定して盗取する訓練データ推定攻撃が知られている。 In recent years, the development and use of systems using machine learning are progressing rapidly. On the other hand, various security problems specific to systems using machine learning have also been found. For example, a training data estimation attack is known in which training data used for machine learning is estimated and stolen.

訓練データ推定攻撃としては、例えば、顔認証システムに用いられる顔認証エッジデバイスを解析して機械学習モデルを抽出し、この機械学習モデルに対して訓練データ推定攻撃を行なうことで訓練データとして用いられた顔画像を推定する。 As a training data estimation attack, for example, a machine learning model is extracted by analyzing a face recognition edge device used in a face recognition system, and a training data estimation attack is performed on this machine learning model to use it as training data. to estimate the face image.

訓練データ推定攻撃は、訓練フェーズを終えた訓練済みモデル(機械学習モデル)を対象に行なわれる攻撃であり、ブラックボックス攻撃とホワイトボックス攻撃とに分類される。
ブラックボックス攻撃は、推論フェーズにおける入力データと出力データとから訓練データを推定する。 A training data estimation attack is an attack that targets a trained model (machine learning model) that has completed a training phase, and is classified into a black box attack and a white box attack.
Black-box attacks infer training data from input and output data in the inference phase.

ブラックボックス攻撃に対する防御手法として、例えば、訓練済みモデルの出力に対してノイズの付与や確信度削除等を行なうことで出力の情報を単純に削減する手法が知られている。また、攻撃に対して、勾配を偽装し、予め用意したおとりのデータセットに誘導する手法も知られている。 As a defense method against black-box attacks, for example, a method of simply reducing output information by adding noise to the output of a trained model, removing certainty, or the like is known. There is also a known method of disguising gradients and luring them to pre-prepared decoy datasets against attacks.

ホワイトボックス攻撃は、訓練済みの機械学習モデル自体からその訓練データを推定する。ホワイトボックス攻撃に対する防御手法としては、機械学習モデルのパラメータ更新時に、パラメータに適切なノイズを付与することで、訓練データ推定に耐性を持った訓練済みの機械学習モデルを生成する手法が知られている。このようなホワイトボックス攻撃に対する防御手法として、例えば、DP-SGD(Differential Private - Stochastic Gradient Descent)がある。 A white-box attack infers its training data from the trained machine learning model itself. As a defense method against white-box attacks, a method is known that generates a trained machine learning model that is resistant to training data estimation by adding appropriate noise to the parameters when updating the parameters of the machine learning model. there is DP-SGD (Differential Private-Stochastic Gradient Descent), for example, is a defense method against such white box attacks.

特開2020-115312号公報JP 2020-115312 A 特開2020-119044号公報JP 2020-119044 A

一般に、攻撃者に機械学習モデル自体を入手される危険は常にあり、ブラックボックス攻撃に対する防御だけでは不十分である。 In general, there is always a risk that an attacker can obtain the machine learning model itself, and defense against black box attacks alone is not sufficient.

一方、ホワイトボックス攻撃に対する従来の防御手法においては、機械学習モデルのパラメータにノイズを付加することで推定精度が低下するので、攻撃耐性の強度は精度とのトレードオフとなる。従って、機械学習モデルの精度が求められるシステムには導入できないという課題がある。
1つの側面では、本発明は、訓練データ推定のホワイトボックス攻撃に耐性を持つ機械学習モデルを生成できるようにすることを目的とする。 On the other hand, in conventional defense methods against white-box attacks, adding noise to the parameters of the machine learning model reduces the estimation accuracy, so the strength of attack resistance is a trade-off with accuracy. Therefore, there is a problem that it cannot be introduced into a system that requires the accuracy of the machine learning model.
In one aspect, the present invention aims to enable the generation of machine learning models that are resistant to white-box attacks on training data estimation.

このため、この情報処理プログラムは、第1訓練データによって訓練済みの第1機械学習モデルを用いて、意味のないデータを初期値として機械的に生成して追加データを作成し、前記第1訓練データと前記追加データとを組み合わせて第2訓練データを作成し、前記第2訓練データを用いて機械学習モデルを訓練する処理をコンピュータに実行させる。 Therefore, the information processing program mechanically generates meaningless data as initial values using a first machine learning model that has been trained using the first training data to create additional data. Combining the data with the additional data to create second training data, and causing a computer to perform a process of training a machine learning model using the second training data.

一実施形態によれば、訓練データ推定のホワイトボックス攻撃に耐性を持つ機械学習モデルを生成することができる。 According to one embodiment, a machine learning model can be generated that is resistant to white-box attacks on training data estimation.

実施形態の一例としての情報処理装置のハードウェア構成を例示する図である。It is a figure which illustrates the hardware constitutions of the information processing apparatus as an example of embodiment. 実施形態の一例としての情報処理装置の機能構成を例示する図である。1 is a diagram illustrating a functional configuration of an information processing device as an example of an embodiment; FIG. 実施形態の一例としての情報処理装置におけるミニバッチ作成部の処理を説明するための図である。FIG. 10 is a diagram for explaining processing of a mini-batch creation unit in the information processing apparatus as one example of the embodiment; 実施形態の一例としての情報処理装置における機械学習モデルの訓練手法の概要を示す図である。FIG. 4 is a diagram showing an overview of a machine learning model training method in an information processing apparatus as an example of an embodiment; 実施形態の一例としての情報処理装置における機械学習モデルの訓練手法を説明するためのフローチャートである。6 is a flowchart for explaining a training method for a machine learning model in an information processing apparatus as one example of an embodiment; 実施形態の一例としての情報処理装置により生成した機械学習モデルに対する訓練データ推定のホワイトボックス攻撃による結果を説明するための図である。FIG. 10 is a diagram for explaining a result of a white-box attack on training data estimation for a machine learning model generated by an information processing apparatus as an example of an embodiment;

以下、図面を参照して本情報処理プログラム,情報処理方法および情報処理装置にかかる実施の形態を説明する。ただし、以下に示す実施形態はあくまでも例示に過ぎず、実施形態で明示しない種々の変形例や技術の適用を排除する意図はない。すなわち、本実施形態を、その趣旨を逸脱しない範囲で種々変形して実施することができる。また、各図は、図中に示す構成要素のみを備えるという趣旨ではなく、他の機能等を含むことができる。 Embodiments of the information processing program, the information processing method, and the information processing apparatus will be described below with reference to the drawings. However, the embodiments shown below are merely examples, and there is no intention of excluding various modifications and application of techniques not explicitly described in the embodiments. In other words, the present embodiment can be modified in various ways without departing from the spirit of the embodiment. Also, each drawing does not mean that it has only the constituent elements shown in the drawing, but can include other functions and the like.

(A)構成
図1は実施形態の一例としての情報処理装置1のハードウェア構成を例示する図である。
情報処理装置1は、例えば、図1に示すように、プロセッサ11,メモリ12,記憶装置13,グラフィック処理装置14,入力インタフェース15,光学ドライブ装置16,機器接続インタフェース17およびネットワークインタフェース18を構成要素として有する。これらの構成要素11~18は、バス19を介して相互に通信可能に構成される。 (A) Configuration FIG. 1 is a diagram illustrating a hardware configuration of an information processing apparatus 1 as an example of an embodiment.
The information processing apparatus 1, for example, as shown in FIG. have as These components 11 to 18 are configured to communicate with each other via a bus 19 .

プロセッサ(制御部)11は、本情報処理装置1全体を制御する。プロセッサ11は、マルチプロセッサであってもよい。プロセッサ11は、例えばCPU,MPU(Micro Processing Unit),DSP(Digital Signal Processor),ASIC(Application Specific Integrated Circuit),PLD(Programmable Logic Device),FPGA(Field Programmable Gate Array)のいずれか一つであってもよい。また、プロセッサ11は、CPU,MPU,DSP,ASIC,PLD,FPGAのうちの2種類以上の要素の組み合わせであってもよい。 A processor (control unit) 11 controls the entire information processing apparatus 1 . Processor 11 may be a multiprocessor. The processor 11 is, for example, any one of a CPU, MPU (Micro Processing Unit), DSP (Digital Signal Processor), ASIC (Application Specific Integrated Circuit), PLD (Programmable Logic Device), and FPGA (Field Programmable Gate Array). may Also, the processor 11 may be a combination of two or more types of elements among CPU, MPU, DSP, ASIC, PLD, and FPGA.

そして、プロセッサ11が制御プログラム(情報処理プログラム:図示省略)を実行することにより、図2に例示する、訓練処理部100(第1訓練実行部101,追加訓練データ作成部102および第2訓練実行部105)としての機能が実現される。 Then, the processor 11 executes a control program (information processing program: not shown) to cause the training processing unit 100 (the first training execution unit 101, the additional training data generation unit 102, and the second training execution unit 100) illustrated in FIG. 105) is realized.

なお、情報処理装置1は、例えばコンピュータ読み取り可能な非一時的な記録媒体に記録されたプログラム{情報処理プログラムやOS(Operating System)プログラム}を実行することにより、訓練処理部100としての機能を実現する。 In addition, the information processing device 1 performs the function as the training processing unit 100 by executing a program {information processing program or OS (Operating System) program} recorded on a computer-readable non-temporary recording medium, for example. come true.

情報処理装置1に実行させる処理内容を記述したプログラムは、様々な記録媒体に記録しておくことができる。例えば、情報処理装置1に実行させるプログラムを記憶装置13に格納しておくことができる。プロセッサ11は、記憶装置13内のプログラムの少なくとも一部をメモリ12にロードし、ロードしたプログラムを実行する。 A program describing the contents of processing to be executed by the information processing apparatus 1 can be recorded in various recording media. For example, a program to be executed by the information processing device 1 can be stored in the storage device 13 . The processor 11 loads at least part of the program in the storage device 13 into the memory 12 and executes the loaded program.

また、情報処理装置1(プロセッサ11)に実行させるプログラムを、光ディスク16a,メモリ装置17a,メモリカード17c等の非一時的な可搬型記録媒体に記録しておくこともできる。可搬型記録媒体に格納されたプログラムは、例えばプロセッサ11からの制御により、記憶装置13にインストールされた後、実行可能になる。また、プロセッサ11が、可搬型記録媒体から直接プログラムを読み出して実行することもできる。 Also, the program to be executed by the information processing device 1 (processor 11) can be recorded in a non-temporary portable recording medium such as the optical disk 16a, the memory device 17a, the memory card 17c, or the like. A program stored in a portable recording medium becomes executable after being installed in the storage device 13 under the control of the processor 11, for example. Alternatively, the processor 11 can read and execute the program directly from the portable recording medium.

メモリ12は、ROM(Read Only Memory)およびRAM(Random Access Memory)を含む記憶メモリである。メモリ12のRAMは情報処理装置1の主記憶装置として使用される。RAMには、プロセッサ11に実行させるOSプログラムや制御プログラムの少なくとも一部が一時的に格納される。また、メモリ12には、プロセッサ11による処理に必要な各種データが格納される。 The memory 12 is a storage memory including ROM (Read Only Memory) and RAM (Random Access Memory). A RAM of the memory 12 is used as a main storage device of the information processing apparatus 1 . The RAM temporarily stores at least part of the OS program and the control program to be executed by the processor 11 . The memory 12 also stores various data necessary for processing by the processor 11 .

記憶装置13は、ハードディスクドライブ(Hard Disk Drive:HDD)、SSD(Solid State Drive)、ストレージクラスメモリ(Storage Class Memory:SCM)等の記憶装置であって、種々のデータを格納するものである。記憶装置13は、本情報処理装置1の補助記憶装置として使用される。記憶装置13には、OSプログラム,制御プログラムおよび各種データが格納される。制御プログラムには情報処理プログラムが含まれる。 The storage device 13 is a storage device such as a hard disk drive (HDD), SSD (Solid State Drive), storage class memory (SCM), etc., and stores various data. The storage device 13 is used as an auxiliary storage device for the information processing apparatus 1 . The storage device 13 stores an OS program, a control program, and various data. The control program includes an information processing program.

なお、補助記憶装置としては、SCMやフラッシュメモリ等の半導体記憶装置を使用することもできる。また、複数の記憶装置13を用いてRAID(Redundant Arrays of Inexpensive Disks)を構成してもよい。 A semiconductor storage device such as an SCM or a flash memory can also be used as the auxiliary storage device. Alternatively, a plurality of storage devices 13 may be used to configure RAID (Redundant Arrays of Inexpensive Disks).

また、記憶装置13には、後述する第1訓練実行部101,追加訓練データ作成部102(追加データ作成部103,ミニバッチ作成部104)および第2訓練実行部105が各処理を実行する際に生成される各種データを格納してもよい。 Further, in the storage device 13, when a first training execution unit 101, an additional training data generation unit 102 (an additional data generation unit 103 and a mini-batch generation unit 104), and a second training execution unit 105, which will be described later, execute each process, Various generated data may be stored.

グラフィック処理装置14には、モニタ14aが接続されている。グラフィック処理装置14は、プロセッサ11からの命令に従って、画像をモニタ14aの画面に表示させる。モニタ14aとしては、CRT(Cathode Ray Tube)を用いた表示装置や液晶表示装置等が挙げられる。 A monitor 14 a is connected to the graphics processing unit 14 . The graphics processing unit 14 displays an image on the screen of the monitor 14a according to instructions from the processor 11. FIG. Examples of the monitor 14a include a display device using a CRT (Cathode Ray Tube), a liquid crystal display device, and the like.

入力インタフェース15には、キーボード15aおよびマウス15bが接続されている。入力インタフェース15は、キーボード15aやマウス15bから送られてくる信号をプロセッサ11に送信する。なお、マウス15bは、ポインティングデバイスの一例であり、他のポインティングデバイスを使用することもできる。他のポインティングデバイスとしては、タッチパネル,タブレット,タッチパッド,トラックボール等が挙げられる。 A keyboard 15 a and a mouse 15 b are connected to the input interface 15 . The input interface 15 transmits signals sent from the keyboard 15 a and the mouse 15 b to the processor 11 . Note that the mouse 15b is an example of a pointing device, and other pointing devices can also be used. Other pointing devices include touch panels, tablets, touch pads, trackballs, and the like.

光学ドライブ装置16は、レーザ光等を利用して、光ディスク16aに記録されたデータの読み取りを行なう。光ディスク16aは、光の反射によって読み取り可能にデータを記録された可搬型の非一時的な記録媒体である。光ディスク16aには、DVD(Digital Versatile Disc),DVD-RAM,CD-ROM(Compact Disc Read Only Memory),CD-R(Recordable)/RW(ReWritable)等が挙げられる。 The optical drive device 16 uses laser light or the like to read data recorded on the optical disc 16a. The optical disk 16a is a portable, non-temporary recording medium on which data is recorded so as to be readable by light reflection. The optical disk 16a includes DVD (Digital Versatile Disc), DVD-RAM, CD-ROM (Compact Disc Read Only Memory), CD-R (Recordable)/RW (ReWritable), and the like.

機器接続インタフェース17は情報処理装置1に周辺機器を接続するための通信インタフェースである。例えば、機器接続インタフェース17には、メモリ装置17aやメモリリーダライタ17bを接続することができる。メモリ装置17aは、機器接続インタフェース17との通信機能を搭載した非一時的な記録媒体、例えばUSB(Universal Serial Bus)メモリである。メモリリーダライタ17bは、メモリカード17cへのデータの書き込み、またはメモリカード17cからのデータの読み出しを行なう。メモリカード17cは、カード型の非一時的な記録媒体である。 The device connection interface 17 is a communication interface for connecting peripheral devices to the information processing apparatus 1 . For example, the device connection interface 17 can be connected with a memory device 17a and a memory reader/writer 17b. The memory device 17a is a non-temporary recording medium equipped with a communication function with the device connection interface 17, such as a USB (Universal Serial Bus) memory. The memory reader/writer 17b writes data to the memory card 17c or reads data from the memory card 17c. The memory card 17c is a card-type non-temporary recording medium.

ネットワークインタフェース18は、図示しないネットワークに接続される。ネットワークインタフェース18は、ネットワークを介して、他の情報処理装置や通信機器等が接続されてもよい。例えば、ネットワークを介して入力画像や入力文章が入力されてもよい。 The network interface 18 is connected to a network (not shown). The network interface 18 may be connected to other information processing devices, communication devices, etc. via a network. For example, an input image or an input text may be input via a network.

図2は実施形態の一例としての情報処理装置1の機能構成を例示する図である。情報処理装置1は、図2に示すように、訓練処理部100としての機能を備える。
情報処理装置1においては、プロセッサ11が制御プログラム(情報処理プログラム)を実行することにより、訓練処理部100としての機能が実現される。 FIG. 2 is a diagram illustrating the functional configuration of the information processing device 1 as an example of the embodiment. The information processing device 1 has a function as a training processing unit 100, as shown in FIG.
In the information processing device 1, the processor 11 executes a control program (information processing program) to realize a function as the training processing section 100. FIG.

訓練処理部100は、訓練データを用いて、機械学習における学習処理(訓練処理)を実現する。すなわち、情報処理装置1は、訓練処理部100により、機械学習モデルの訓練を行なう訓練装置として機能する。 The training processing unit 100 uses training data to implement learning processing (training processing) in machine learning. That is, the information processing device 1 functions as a training device for training a machine learning model by the training processing unit 100 .

訓練処理部100は、例えば、正解ラベルが付与された訓練データ(教師データ)を用いて、機械学習における学習処理(訓練処理)を実現する。訓練処理部100は、訓練データを用いて機械学習モデルの訓練を行ない、訓練データ推定に耐性を持った訓練済みの機械学習モデルを生成する。 The training processing unit 100 implements learning processing (training processing) in machine learning, for example, using training data (teacher data) to which correct labels are assigned. The training processing unit 100 trains a machine learning model using training data to generate a trained machine learning model that is resistant to training data estimation.

機械学習モデルは、例えば、ディープラーニングのモデル(ディープニューラルネットワーク)であってもよい。ニューラルネットワークは、ハードウェア回路であってもよいし、プロセッサ11等によりコンピュータプログラム上で仮想的に構築される階層間を接続するソフトウェアによる仮想的なネットワークであってもよい。
訓練処理部100は、図2に示すように、第1訓練実行部101,追加データ作成部103および第2訓練実行部105を備える。 The machine learning model may be, for example, a deep learning model (deep neural network). The neural network may be a hardware circuit, or a virtual network of software that connects layers virtually constructed on a computer program by the processor 11 or the like.
The training processing unit 100 includes a first training execution unit 101, an additional data creation unit 103, and a second training execution unit 105, as shown in FIG.

第1訓練実行部101は、訓練データを用いて機械学習モデルの訓練を行ない、訓練済み機械学習モデルを生成する。
訓練データは、例えば、入力データxと正解出力データyとの組み合わせとして構成される。 The first training execution unit 101 trains a machine learning model using training data to generate a trained machine learning model.
The training data is configured, for example, as a combination of input data x and correct output data y.

第1訓練実行部101が訓練データを用いて行なう機械学習モデルの訓練を第1訓練という場合がある。また、第1訓練実行部101による訓練が行なわれる前の機械学習モデルを第1機械学習モデルという場合がある。第1機械学習モデルは訓練が行なわれる前の機械学習モデルであるので、空の機械学習モデルといってもよい。また、機械学習モデルを単にモデルといってもよい。
また、以下、第1訓練実行部101が第1訓練に用いる訓練データを第1訓練データもしくは訓練データAという場合がある。 Training of the machine learning model performed by the first training execution unit 101 using training data may be referred to as first training. Also, a machine learning model before training by the first training execution unit 101 is sometimes referred to as a first machine learning model. Since the first machine learning model is a machine learning model before training is performed, it can be said to be an empty machine learning model. Also, the machine learning model may simply be called a model.
Also, the training data used for the first training by the first training execution unit 101 may be referred to as first training data or training data A hereinafter.

さらに、第1訓練実行部101により生成される訓練済み機械学習モデルを第2機械学習モデルもしくは機械学習モデルAという場合がある。第1訓練実行部101による第1訓練により、機械学習モデルAのモデルパラメータが設定される。 Furthermore, the trained machine learning model generated by the first training execution unit 101 may be referred to as a second machine learning model or machine learning model A. Model parameters of the machine learning model A are set by the first training by the first training execution unit 101 .

第1訓練実行部101は、既知の手法を用いて、訓練データAを用いて第1機械学習モデルの訓練を行なって第2機械学習モデル(機械学習モデルA)を生成することができ、その具体的な説明は省略する。 The first training execution unit 101 can use a known technique to train the first machine learning model using the training data A to generate a second machine learning model (machine learning model A). A detailed description is omitted.

追加訓練データ作成部102は、後述する第2訓練実行部105が、第1訓練実行部101が生成した第2機械学習モデル(機械学習モデルA)に対して追加訓練を行なう際に用いる訓練データを作成する。以下、第2機械学習モデルに対して追加訓練を行なう際に用いる訓練データを第2訓練データもしくは訓練データBという場合がある。訓練データBを追加訓練データといってもよい。
追加訓練データ作成部102は、追加データ作成部103およびミニバッチ作成部104を備える。 The additional training data creation unit 102 generates training data used when the second training execution unit 105, which will be described later, performs additional training on the second machine learning model (machine learning model A) generated by the first training execution unit 101. to create Hereinafter, the training data used when performing additional training on the second machine learning model may be referred to as second training data or training data B. Training data B may be referred to as additional training data.
The additional training data creation unit 102 includes an additional data creation unit 103 and a mini-batch creation unit 104 .

追加データ作成部103は、複数の追加データを作成する。追加データは、機械学習モデルAに対して一般的な機械学習モデル運用では入力されないデータであり、且つ、分類器(Classifier)において特定のラベルに分類される人工的なデータである。
追加データ作成部103は、例えば、機械学習モデルAの勾配を取得して確信度が上がる方向に入力を更新していく勾配降下法で追加データを作成する。 The additional data creating unit 103 creates a plurality of additional data. Additional data is data that is not input to machine learning model A in general machine learning model operation, and is artificial data that is classified into a specific label in a classifier.
The additional data creation unit 103 creates the additional data by, for example, the gradient descent method of acquiring the gradient of the machine learning model A and updating the input in the direction in which the certainty increases.

以下に、単純な勾配降下法を用いて追加データを生成する手法(手順1~4)を例示する。
(手順1)追加データ作成部103は、先ず、目的関数を設定する。
機械学習モデルAの入力:X
機械学習モデルAの出力:f(X) = (f1(X), …, fn(X))
ターゲットのラベル:t
とする場合に、目的関数を例えば、以下の式(1)で表すことができる。

L(X) = (1-ft(X))2 ・・・(1)

上記のL(X)の値が最小になるとき、Xは確信度1でラベルtに分類される
このようにラベルtに依存するため、すべてのラベルに対して手順1の処理を行なう必要がある。 Below is an example of how to generate additional data using simple gradient descent (steps 1-4).
(Procedure 1) The additional data creation unit 103 first sets an objective function.
Input for machine learning model A: X
Output of machine learning model A: f(X) = (f 1 (X), …, f n (X))
Target label: t
, the objective function can be expressed, for example, by the following equation (1).

L(X) = (1-f t (X)) 2 (1)

When the value of L(X) above is minimized, X is classified into label t with a certainty of 1. Since it depends on label t in this way, it is necessary to process step 1 for all labels. be.

(手順2)初期値として、機械学習モデルAに関して意味のないデータ(例えば、ノイズや一定値)の入力を用意する(以下、初期値X0と表す)。
初期値X0は、オペレータ等が予め用意・設定してもよく、また、追加データ作成部103が生成してもよい。
(手順3)追加データ作成部103は、X0まわりのL(X)の微分値L′(X0)を取得する。
(手順4)追加データ作成部103は、X0 -λL′(X0)を追加データとする。λはハイパーパラメータである。 (Procedure 2) As an initial value, prepare input of meaningless data (for example, noise or a constant value) for the machine learning model A (hereinafter referred to as initial value X 0 ).
The initial value X 0 may be prepared and set in advance by an operator or the like, or may be generated by the additional data creation unit 103 .
(Procedure 3) The additional data creation unit 103 acquires the differential value L'(X 0 ) of L(X) around X 0 .
(Procedure 4) The additional data creation unit 103 sets X 0 -λL'(X 0 ) as additional data. λ is a hyperparameter.

なお、追加データの作成方法は、これに限定されるものではなく、適宜変更して実施することができる。例えば、他の目的関数を用いてもよい。また、上記手順4を一定回数繰り返してもよい。さらに、上記手順4の式を変更してもよい。 Note that the method of creating the additional data is not limited to this, and can be changed as appropriate. For example, other objective functions may be used. Moreover, the above procedure 4 may be repeated a certain number of times. Furthermore, the formula in procedure 4 above may be changed.

追加データ作成部103は、訓練データA(第1訓練データ)によって訓練済みの機械学習モデルA(第1機械学習モデル)を用いて、意味のないデータ(X0)を初期値として機械的に生成して追加データを作成する。
また、追加データの生成には、進化的アルゴリズムなどの勾配降下法以外の最適化手法を用いてもよく種々変形して実施することができる。 The additional data generation unit 103 uses a machine learning model A (first machine learning model) trained with training data A (first training data) to mechanically generate meaningless data (X 0 ) as an initial value. Generate to create additional data.
Further, the additional data may be generated using an optimization method other than the gradient descent method, such as an evolutionary algorithm, which may be modified in various ways.

入力データが画像データである場合には、例えば、fooling imageを追加データとして用いてもよい。なお、fooling imageは既知の手法で生成することができ、その説明は省略する。 If the input data is image data, for example, fooling image may be used as the additional data. It should be noted that the fooling image can be generated by a known method, and its explanation is omitted.

ミニバッチ作成部104は、訓練データAに追加データ作成部103が作成した追加データを加えることで、第2訓練データ(訓練データB,追加訓練データ)を作成する。 The mini-batch creation unit 104 adds the additional data created by the additional data creation unit 103 to the training data A to create second training data (training data B, additional training data).

ミニバッチ作成部104は、訓練データAのサンプル数に対して追加データのサンプル数が十分少なくなるように訓練データAをアップサンプリング、または追加データをダウンサンプリングする。
例えば、ミニバッチ作成部104は、訓練データAに対する追加データの割合が所定値(α)となるように、訓練データAおよび追加データの数を調整する。 The mini-batch creation unit 104 up-samples the training data A or down-samples the additional data so that the number of samples of the additional data is sufficiently smaller than the number of samples of the training data A.
For example, the mini-batch creation unit 104 adjusts the numbers of training data A and additional data so that the ratio of additional data to training data A is a predetermined value (α).

すなわち、訓練データAに対して追加データが所定の割合αよりも少ない場合には、ミニバッチ作成部104は、訓練データAのダウンサンプリングと追加データのアップサンプリングとの少なくとも一方を行なうことで、訓練データAに対する追加データの割合をαとなるようにする。一方、訓練データAに対して追加データが所定の割合α以上である場合には、ミニバッチ作成部104は、訓練データAのアップサンプリングと追加データのダウンサンプリングとの少なくとも一方を行なうことで、訓練データAに対する追加データの割合をαとなるようにする。なお、アップサンプリングには、ノイズ付加等の手法を用いてもよい。 That is, when the additional data to the training data A is less than the predetermined ratio α, the mini-batch creation unit 104 performs at least one of downsampling of the training data A and upsampling of the additional data, thereby Let the ratio of additional data to data A be α. On the other hand, when the additional data to the training data A is equal to or greater than the predetermined ratio α, the mini-batch creation unit 104 performs at least one of upsampling of the training data A and downsampling of the additional data to Let the ratio of additional data to data A be α. Note that a technique such as noise addition may be used for upsampling.

なお、訓練データAに対する追加データの割合を大きくすることで、後述する第2訓練実行部105が第2訓練データ(訓練データB)を用いて生成される機械学習モデル(機械学習モデルB)の、ホワイトボックス攻撃に対する耐性を向上させることができる。その一方で、訓練データAに対する追加データの割合を大きくすることで、機械学習モデル(機械学習モデルB)の精度が低下するおそれがある。そこで、訓練データAに対する追加データの割合を表す閾値(α)は、機械学習モデル(機械学習モデルB)の精度が維持される範囲内においてなるべく大きい値に設定することが望ましい。
ミニバッチ作成部104は、訓練データAと追加データとを用いて、複数のミニバッチを作成する。 By increasing the ratio of the additional data to the training data A, the machine learning model (machine learning model B) generated by the second training execution unit 105 using the second training data (training data B) , can improve resistance to white-box attacks. On the other hand, increasing the ratio of additional data to training data A may reduce the accuracy of the machine learning model (machine learning model B). Therefore, it is desirable to set the threshold value (α) representing the ratio of the additional data to the training data A to a value as large as possible within the range in which the accuracy of the machine learning model (machine learning model B) is maintained.
A mini-batch creation unit 104 creates a plurality of mini-batches using the training data A and the additional data.

図3は実施形態の一例としての情報処理装置1におけるミニバッチ作成部104の処理を説明するための図である。
ミニバッチ作成部104は、後述する第2訓練実行部105による訓練(機械学習)を安定させるために、各ミニバッチに一定割合の追加データが含まれるようにシャッフルする。 FIG. 3 is a diagram for explaining processing of the mini-batch creation unit 104 in the information processing apparatus 1 as an example of the embodiment.
The mini-batch creation unit 104 shuffles each mini-batch so that a certain ratio of additional data is included in order to stabilize training (machine learning) by the second training execution unit 105, which will be described later.

すなわち、ミニバッチ作成部104は、訓練データAと追加データとを別々にランダムに並び替え(シャッフルし)、それぞれN等分する(Nは2以上の自然数)。以下、訓練データをN等分することで生成された1/Nの訓練データAを分割訓練データAという場合がある。また、追加データをN等分することで生成された1/Nの追加データを分割追加データという場合がある。 That is, the mini-batch creation unit 104 randomly rearranges (shuffles) the training data A and the additional data separately, and equally divides them into N (N is a natural number of 2 or more). The 1/N training data A generated by dividing the training data into N equal parts is sometimes referred to as divided training data A hereinafter. Also, 1/N additional data generated by dividing the additional data into N equal parts may be referred to as divided additional data.

ミニバッチ作成部104は、N個に分割(N分割)した訓練データAから抽出した一つの分割訓練データAと、N分割した追加データから抽出した分割追加データとを組み合わせることで一つのミニバッチを作成する。ミニバッチは、後述する第2訓練実行部105により、機械学習モデルに対する訓練に用いられる。 The mini-batch creation unit 104 creates one mini-batch by combining one divided training data A extracted from the N-divided (N-divided) training data A and the divided additional data extracted from the N-divided additional data. do. The mini-batch is used for training the machine learning model by the second training execution unit 105, which will be described later.

すなわち、ミニバッチ作成部104は、シャッフルしたそれぞれのデータ(訓練データAおよび追加データ)からそれぞれ一定個数を取り出して結合し、一つのミニバッチとする。これらの複数のミニバッチの集合を訓練データBという場合がある。 That is, the mini-batch creation unit 104 extracts a certain number from each of the shuffled data (training data A and additional data) and combines them into one mini-batch. A collection of these multiple mini-batches may be referred to as training data B.

ミニバッチ作成部104は、訓練データA(第1訓練データ)と追加データとを組み合わせて訓練データB(第2訓練データ)を作成する第2訓練データ作成部に相当する。また、ミニバッチ作成部104は、訓練データBにおいて、訓練データA(第1訓練データ)に対する追加データの割合が所定値(α)となるように、訓練データAおよび追加データの少なくとも一方に、アップサンプリングもしくはダウンサンプリングを行なう。 The mini-batch creation unit 104 corresponds to a second training data creation unit that creates training data B (second training data) by combining training data A (first training data) and additional data. In addition, the mini-batch creation unit 104 updates at least one of the training data A and the additional data so that the ratio of the additional data to the training data A (first training data) in the training data B becomes a predetermined value (α). Perform sampling or downsampling.

なお、ミニバッチのサイズは機械学習のノウハウに基づき、適宜設定することができる。ミニバッチ作成部104が訓練データAと追加データとをそれぞれシャッフルすることで、訓練によって設定されるパラメータにおいて勾配の偏りの発生を抑止することができる。 Note that the mini-batch size can be appropriately set based on machine learning know-how. By shuffling the training data A and the additional data by the mini-batch creation unit 104, it is possible to suppress the occurrence of biased gradients in parameters set by training.

第2訓練実行部105は、追加訓練データ作成部102によって作成された訓練データBを用いて機械学習モデルの訓練を行なうことで、訓練データ推定攻撃に耐性を持つ機械学習モデルを作成する。 The second training execution unit 105 trains the machine learning model using the training data B created by the additional training data creation unit 102, thereby creating a machine learning model resistant to training data estimation attacks.

本情報処理装置1においては、第2訓練実行部105は、第1訓練実行部101によって訓練が行なわれた機械学習モデルAに対して、訓練データBを用いた訓練(追加訓練)を行なう。
以下、第2訓練実行部105が訓練データBを用いて行なう機械学習モデルの訓練を第2訓練という場合がある。 In the information processing apparatus 1 , the second training execution unit 105 performs training (additional training) using the training data B for the machine learning model A trained by the first training execution unit 101 .
Hereinafter, the machine learning model training performed by the second training executing unit 105 using the training data B may be referred to as second training.

また、第2訓練実行部105により生成される訓練済み機械学習モデルを機械学習モデルBという場合がある。機械学習モデルBを第3機械学習モデルといってもよい。 Also, the trained machine learning model generated by the second training execution unit 105 may be referred to as a machine learning model B in some cases. Machine learning model B may be referred to as a third machine learning model.

第2訓練実行部105は、第1訓練実行部101は、既知の手法を用いて、訓練データBを用いて第2機械学習モデルの訓練を行なって第3機械学習モデル(機械学習モデルB)を生成することができ、その具体的な説明は省略する。 The second training execution unit 105 trains the second machine learning model using the training data B using a known method, and the first training execution unit 101 trains the third machine learning model (machine learning model B). can be generated, and a detailed description thereof will be omitted.

第2訓練実行部105は、追加訓練データ作成部102によって作成された、訓練データBをN分割することで生成されたミニバッチを用いて、訓練済みの機械学習モデルAに対して更なる訓練を(追加訓練)を行なうことで、追加訓練済みの機械学習モデルBを生成する。第2訓練実行部105による第2訓練(追加訓練)により、機械学習モデルBのモデルパラメータが設定される。 The second training execution unit 105 performs further training on the trained machine learning model A using mini-batches generated by dividing the training data B created by the additional training data creation unit 102 into N. By performing (additional training), an additionally trained machine learning model B is generated. The model parameters of the machine learning model B are set by the second training (additional training) by the second training execution unit 105 .

第2訓練実行部105は、訓練データB(第2訓練データ)を用いて機械学習モデルを訓練するものであり、訓練データB(第2訓練データ)を用いて機械学習モデルA(第1機械学習モデル)の再訓練を実行する。 The second training execution unit 105 trains the machine learning model using the training data B (second training data), and uses the training data B (second training data) to train the machine learning model A (first machine Perform retraining of the learning model).

第2訓練実行部105による第2訓練(追加訓練)によって生成される機械学習モデルBは、訓練データAを推定するホワイトボックス攻撃に対して耐性を持つ。
訓練済みの機械学習モデルAに対して更なる訓練を(追加訓練)を行なうことで、機械学習モデルの訓練に要する時間を短縮することができる。 The machine learning model B generated by the second training (additional training) by the second training execution unit 105 is resistant to white-box attacks that estimate the training data A.
By further training (additional training) to the trained machine learning model A, the time required for training the machine learning model can be shortened.

(B)動作
上述の如く構成された実施形態の一例としての情報処理装置1における機械学習モデルの訓練手法を、図4を参照しながら、図5に示すフローチャート(ステップS1~S10)に従って説明する。図4は本情報処理装置1における機械学習モデルの訓練手法の概要を示す図である。 (B) Operation A machine learning model training method in the information processing apparatus 1 configured as described above as an example of the embodiment will be described with reference to FIG. 4 and according to the flowchart (steps S1 to S10) shown in FIG. . FIG. 4 is a diagram showing an outline of a machine learning model training method in the information processing apparatus 1. As shown in FIG.

ステップS1において、オペレータは、空の機械学習モデル(第1機械学習モデル)および訓練データAを準備する。これらの空の機械学習モデルおよび訓練データAを構成する情報は記憶装置13等の所定の記憶領域に記憶される。 In step S1, the operator prepares an empty machine learning model (first machine learning model) and training data A. Information constituting these empty machine learning models and training data A are stored in a predetermined storage area such as the storage device 13 .

ステップS2において、第1訓練実行部101が、訓練データAを用いて空の機械学習モデル(第1機械学習モデル)の訓練(第1訓練)を行ない、訓練済み機械学習モデルAを生成する(図4の符号A1参照)。
ステップS3において、追加データ作成部103が、機械学習モデルAに対して最適化手法を用いることで追加データを生成する(図4の符号A2参照)。 In step S2, the first training execution unit 101 performs training (first training) of an empty machine learning model (first machine learning model) using the training data A to generate a trained machine learning model A ( (see symbol A1 in FIG. 4).
In step S3, the additional data generation unit 103 generates additional data by applying an optimization method to the machine learning model A (see symbol A2 in FIG. 4).

ステップS4において、ミニバッチ作成部104が、追加データの数と訓練データAの数とを比較し、訓練データAに対して追加データが所定の割合αよりも少ないかを確認する。 In step S4, the mini-batch creation unit 104 compares the number of additional data and the number of training data A, and checks whether the additional data to the training data A is less than a predetermined ratio α.

確認の結果、訓練データAに対して追加データが所定の割合αよりも少ない場合には(ステップS4のYESルート参照)、ステップS6に移行する。ステップS6において、ミニバッチ作成部104は、訓練データAのダウンサンプリングと追加データのアップサンプリングとの少なくとも一方を行なうことで、訓練データAに対する追加データの割合をαとなるように調整する。 As a result of confirmation, if the additional data is less than the predetermined ratio α with respect to the training data A (see YES route of step S4), the process proceeds to step S6. In step S6, the mini-batch creation unit 104 performs at least one of downsampling of the training data A and upsampling of the additional data, thereby adjusting the ratio of the additional data to the training data A to α.

一方、確認の結果、訓練データAに対して追加データが所定の割合α以上である場合には(ステップS4のNOルート参照)、ステップS5に移行する。ステップS5において、ミニバッチ作成部104は、訓練データAのアップサンプリングと追加データのダウンサンプリングとの少なくとも一方を行なうことで、訓練データAに対する追加データの割合をαとなるように調整する。 On the other hand, as a result of confirmation, if the additional data is equal to or greater than the predetermined ratio α with respect to the training data A (see NO route in step S4), the process proceeds to step S5. In step S5, the mini-batch creation unit 104 performs at least one of upsampling of the training data A and downsampling of the additional data, thereby adjusting the ratio of the additional data to the training data A to α.

その後、ステップS7において、ミニバッチ作成部104は、訓練データAと追加データとを別々にランダムに並び替える。さらに、ミニバッチ作成部104は、訓練データAおよび追加データをそれぞれN等分する。 Thereafter, in step S7, the mini-batch creation unit 104 randomly rearranges the training data A and the additional data separately. Furthermore, the mini-batch creation unit 104 divides the training data A and the additional data into N equal parts.

ステップS8において、ミニバッチ作成部104は、N個に分割(N分割)した訓練データAと、N分割した追加データとを組み合わせることでN分割された訓練データBを作成する(図4の符号A3参照)。 In step S8, the mini-batch creation unit 104 creates N-divided training data B by combining the N-divided (N-divided) training data A and the N-divided additional data (reference A3 in FIG. 4). reference).

ステップS9において、第2訓練実行部105が、追加訓練データ作成部102によって作成された、N分割された訓練データBの各ミニバッチを用いて、訓練済みの機械学習モデルAに対して更なる訓練を(追加訓練)を行なうことで、追加訓練済みの機械学習モデルBを生成する(図4の符号A4参照)。 In step S9, the second training execution unit 105 further trains the trained machine learning model A using each mini-batch of the N-divided training data B created by the additional training data creation unit 102. (additional training) to generate an additionally trained machine learning model B (see symbol A4 in FIG. 4).

ステップS10において、第2訓練実行部105は、生成した機械学習モデルBを出力する。機械学習モデルBを構成する情報は、記憶装置13等の所定の記憶領域に記憶される。 In step S10, the second training execution unit 105 outputs the machine learning model B generated. Information forming the machine learning model B is stored in a predetermined storage area such as the storage device 13 .

(C)効果
このように、実施形態の一例としての情報処理装置1によれば、追加訓練データ作成部102が、追加データを含む訓練データBを作成し、第2訓練実行部105が、この訓練データBを用いて訓練済みの機械学習モデルAに対して更なる訓練を(追加訓練)を行なうことで、追加訓練済みの機械学習モデルBを生成する。 (C) Effect As described above, according to the information processing device 1 as an example of the embodiment, the additional training data creation unit 102 creates the training data B including the additional data, and the second training execution unit 105 creates the training data B including the additional data. By performing further training (additional training) on the trained machine learning model A using the training data B, an additionally trained machine learning model B is generated.

追加データは、一般的な機械学習モデル運用では入力されないデータであり、機械学習モデルAに関して意味のないデータ(X0)を初期値として機械的に生成したデータである。そのため、追加訓練済みの機械学習モデルBに対して訓練データ推定のホワイトボックス攻撃を行なっても、追加データの影響で訓練データAの推定を抑止することができる。機械学習モデルBに対して訓練データ推定のホワイトボックス攻撃が行なわれた場合に、追加データがデコイとして機能し、訓練データAの推定を阻止することができる。 The additional data is data that is not input in general machine learning model operation, and is mechanically generated data with meaningless data (X 0 ) for the machine learning model A as an initial value. Therefore, even if a white-box attack of training data estimation is performed on additionally trained machine learning model B, estimation of training data A can be suppressed due to the influence of the additional data. If a training data estimation white-box attack is performed on the machine learning model B, the additional data can act as a decoy and block the training data A estimation.

図6は実施形態の一例としての情報処理装置1により生成した機械学習モデルに対する訓練データ推定のホワイトボックス攻撃による結果を説明するための図である。 FIG. 6 is a diagram for explaining the result of a white-box attack on training data estimation for a machine learning model generated by the information processing apparatus 1 as an example of the embodiment.

この図6においては、入力された数字画像に基づき、その数字画像が表す数字を推定(分類)する機械学習モデルに関して訓練データ推定攻撃を行なった例を示す。また、この図6においては、機械学習モデルのパラメータにノイズを付加する従来手法により訓練した機械学習モデルに基づいて訓練データ推定攻撃を行なった結果と、本情報処理装置1により作成した訓練済み機械学習モデルに基づいて訓練データ推定攻撃を行なった結果とを示す。 FIG. 6 shows an example in which a training data estimation attack is performed on a machine learning model that estimates (classifies) a number represented by an input number image based on the input number image. Also, in FIG. 6, the result of performing a training data estimation attack based on a machine learning model trained by a conventional method of adding noise to the parameters of the machine learning model, and the trained machine created by the information processing apparatus 1 and the results of a training data estimation attack based on the learning model.

図6において、「モデル性能(Accuracy)」は、従来手法により訓練した機械学習モデルと本情報処理装置1により訓練した機械学習モデルとの各性能(精度)を示す。本本情報処理装置1により訓練した機械学習モデルの性能(0.9863)は、従来手法により訓練した機械学習モデルの性能(0.9888)と同等であることがわかる。 In FIG. 6 , “model performance (Accuracy)” indicates the performance (accuracy) of the machine learning model trained by the conventional method and the machine learning model trained by the information processing apparatus 1 . It can be seen that the performance (0.9863) of the machine learning model trained by this information processing apparatus 1 is equivalent to the performance (0.9888) of the machine learning model trained by the conventional method.

「訓練データ推定に対する耐性(攻撃結果)」には、各機械学習モデルに対して訓練データ推定攻撃を行なうことで生成された画像(数字画像)と、その数字画像の本来の正解データとしての数値とを並べて示している。 "Training data estimation resistance (attack results)" includes images (digit images) generated by performing training data estimation attacks on each machine learning model, and numerical values as the original correct data of the digit images. are shown side by side.

従来手法により訓練した機械学習モデルに基づいて訓練データ推定攻撃を行なった結果においては、ホワイトボックス攻撃により訓練データの数字画像が再現されてしまっている。これに対して、本情報処理装置1による訓練済み機械学習モデルに基づいて訓練データ推定攻撃を行なった結果においては、一部を除いて訓練データの数字画像が再現されておらず、ホワイトボックス攻撃による訓練データの数字画像の再現率が低いことがわかる。すなわち、本情報処理装置1による訓練済み機械学習モデルが訓練データ推定攻撃に耐性を持つことを示している。 In the training data estimation attack based on the machine learning model trained by the conventional method, the numerical image of the training data is reproduced by the white-box attack. On the other hand, in the results of the training data estimation attack based on the trained machine learning model by the information processing apparatus 1, the numerical images of the training data are not reproduced except for some, and the white box attack It can be seen that the recall of the digit images in the training data is low. That is, it indicates that the machine learning model trained by the information processing apparatus 1 is resistant to training data estimation attacks.

また、機械学習モデルのパラメータにノイズを付加する従来のホワイトボックス攻撃に対する防御手法従来手法では、ノイズがモデルの推論能力にも大きく影響を与えてしまい、精度の低下が非常に大きくなる。これに対して、本情報処理装置1により訓練済みの機械学習モデルにおいては、追加データが通常の入力の推論能力に影響を与えにくいため、精度の低下を比較的抑えることができる。 In addition, in conventional defense methods against white-box attacks that add noise to the parameters of machine learning models, the noise greatly affects the model's inference ability, resulting in a significant decrease in accuracy. On the other hand, in the machine learning model trained by the information processing apparatus 1, the additional data does not easily affect the inference ability of the normal input, so the decrease in accuracy can be relatively suppressed.

(D)その他
開示の技術は上述した実施形態に限定されるものではなく、本実施形態の趣旨を逸脱しない範囲で種々変形して実施することができる。
例えば、本実施形態の各構成および各処理は、必要に応じて取捨選択することができ、あるいは適宜組み合わせてもよい。 (D) Others The technology disclosed herein is not limited to the above-described embodiments, and various modifications can be made without departing from the spirit of the embodiments.
For example, each configuration and each process of the present embodiment can be selectively selected or combined as appropriate.

また、上述した実施形態においては、第2訓練実行部105が、第1訓練実行部101により訓練済みの機械学習モデルAに対して更なる訓練を(追加訓練)を行なっているが、これに限定されるものではない。第2訓練実行部105は、第2訓練データを用いて空の機械学習モデルに対して訓練を行なってもよい。
また、上述した開示により本実施形態を当業者によって実施・製造することが可能である。 Further, in the above-described embodiment, the second training execution unit 105 performs further training (additional training) on the machine learning model A that has already been trained by the first training execution unit 101. It is not limited. The second training execution unit 105 may train an empty machine learning model using the second training data.
In addition, it is possible for a person skilled in the art to implement and manufacture the present embodiment based on the above disclosure.

(E)付記
以上の実施形態に関し、さらに以下の付記を開示する。
(付記1)
第1訓練データによって訓練済みの第1機械学習モデルを用いて、意味のないデータを初期値として機械的に生成して追加データを作成し、
前記第1訓練データと前記追加データとを組み合わせて第2訓練データを作成し、
前記第2訓練データを用いて機械学習モデルを訓練する
処理をコンピュータに実行させることを特徴とする、情報処理プログラム。 (E) Supplementary Note Regarding the above embodiment, the following Supplementary Note will be disclosed.
(Appendix 1)
Using a first machine learning model trained with the first training data, mechanically generating meaningless data as initial values to create additional data,
Combining the first training data and the additional data to create second training data;
An information processing program, characterized by causing a computer to execute a process of training a machine learning model using the second training data.

(付記2)
前記第2訓練データを用いた前記機械学習モデルの訓練は、前記第2訓練データを用いた前記第1機械学習モデルの再訓練である
ことを特徴とする、付記1記載の情報処理プログラム。 (Appendix 2)
The information processing program according to supplementary note 1, wherein the training of the machine learning model using the second training data is retraining of the first machine learning model using the second training data.

(付記3)
前記追加データを最適化手法を用いて生成する
処理を前記コンピュータに実行させることを特徴とする、付記1または2に記載の情報処理プログラム。 (Appendix 3)
3. The information processing program according to appendix 1 or 2, causing the computer to execute a process of generating the additional data using an optimization technique.

(付記4)
前記第1訓練データに対する前記追加データの割合が所定値となるように、前記第1訓練データおよび前記追加データの少なくとも一方に、アップサンプリングもしくはダウンサンプリングを行なう
処理を前記コンピュータに実行させることを特徴とする、付記1~3のいずれか1項に記載の情報処理プログラム。 (Appendix 4)
causing the computer to perform upsampling or downsampling of at least one of the first training data and the additional data so that the ratio of the additional data to the first training data is a predetermined value. The information processing program according to any one of Appendices 1 to 3, wherein:

(付記5)
第1訓練データによって訓練済みの第1機械学習モデルを用いて、意味のないデータを初期値として機械的に生成して追加データを作成し、
前記第1訓練データと前記追加データとを組み合わせて第2訓練データを作成し、
前記第2訓練データを用いて機械学習モデルを訓練する
処理をコンピュータが実行することを特徴とする情報処理方法。 (Appendix 5)
Using a first machine learning model trained with the first training data, mechanically generating meaningless data as initial values to create additional data,
Combining the first training data and the additional data to create second training data;
An information processing method, wherein a computer executes a process of training a machine learning model using the second training data.

(付記6)
前記第2訓練データを用いた前記機械学習モデルの訓練は、前記第2訓練データを用いて前記訓第1機械学習モデルの再訓練である
ことを特徴とする、付記5記載の情報処理方法。 (Appendix 6)
6. The information processing method according to claim 5, wherein the training of the machine learning model using the second training data is retraining of the first machine learning model using the second training data.

(付記7)
前記追加データを最適化手法を用いて生成する
処理を前記コンピュータが実行することを特徴とする、付記5または6に記載の情報処理方法。 (Appendix 7)
7. The information processing method according to appendix 5 or 6, wherein the computer executes a process of generating the additional data using an optimization technique.

(付記8)
前記第1訓練データに対する前記追加データの割合が所定値となるように、前記第1訓練データおよび前記追加データの少なくとも一方に、アップサンプリングもしくはダウンサンプリングを行なう
処理を前記コンピュータが実行することを特徴とする、付記5~7のいずれか1項に記載の情報処理方法。 (Appendix 8)
The computer executes a process of upsampling or downsampling at least one of the first training data and the additional data such that the ratio of the additional data to the first training data is a predetermined value. The information processing method according to any one of Appendices 5 to 7.

(付記9)
第1訓練データによって訓練済みの第1機械学習モデルを用いて、意味のないデータを初期値として機械的に生成して追加データを作成する追加データ作成部と、
前記第1訓練データと前記追加データとを組み合わせて第2訓練データを作成する第2訓練データ作成部と、
前記第2訓練データを用いて機械学習モデルを訓練する第2訓練実行部と
を備えることを特徴とする情報処理装置。 (Appendix 9)
an additional data creation unit that creates additional data by mechanically creating meaningless data as initial values using the first machine learning model trained with the first training data;
a second training data creation unit that creates second training data by combining the first training data and the additional data;
and a second training execution unit that trains a machine learning model using the second training data.

(付記10)
前記第2訓練実行部が、前記第2訓練データを用いて前記訓第1機械学習モデルの再訓練を実行する
ことを特徴とする、付記9記載の情報処理装置。 (Appendix 10)
10. The information processing apparatus according to claim 9, wherein the second training execution unit re-trains the training first machine learning model using the second training data.

(付記11)
前記追加データ作成部が、前記追加データを最適化手法を用いて生成する
ことを特徴とする、付記9または10に記載の情報処理装置。 (Appendix 11)
11. The information processing apparatus according to appendix 9 or 10, wherein the additional data creation unit creates the additional data using an optimization method.

(付記12)
前記第2訓練データ作成部が、前記第1訓練データに対する前記追加データの割合が所定値となるように、前記第1訓練データおよび前記追加データの少なくとも一方に、アップサンプリングもしくはダウンサンプリングを行なう
ことを特徴とする、付記9~11のいずれか1項に記載の情報処理装置。 (Appendix 12)
The second training data creation unit performs upsampling or downsampling of at least one of the first training data and the additional data such that a ratio of the additional data to the first training data is a predetermined value. The information processing apparatus according to any one of Appendices 9 to 11, characterized by:

1 情報処理装置
11 プロセッサ
12 メモリ
13 記憶装置
14 グラフィック処理装置
14a モニタ
15 入力インタフェース
15a キーボード
15b マウス
16 光学ドライブ装置
16a 光ディスク
17 機器接続インタフェース
17a メモリ装置
17b メモリリーダライタ
17c メモリカード
18 ネットワークインタフェース
18a ネットワーク
19 バス
100 訓練処理部
101 第1訓練実行部
102 追加訓練データ作成部
103 追加データ作成部
104 ミニバッチ作成部
105 第2訓練実行部 1 Information Processing Device 11 Processor 12 Memory 13 Storage Device 14 Graphic Processing Device 14a Monitor 15 Input Interface 15a Keyboard 15b Mouse 16 Optical Drive Device 16a Optical Disk 17 Equipment Connection Interface 17a Memory Device 17b Memory Reader/Writer 17c Memory Card 18 Network Interface 18a Network 19 bus 100 training processing unit 101 first training execution unit 102 additional training data creation unit 103 additional data creation unit 104 mini-batch creation unit 105 second training execution unit

Claims (6)

第1訓練データによって訓練済みの第1機械学習モデルを用いて、意味のないデータを初期値として機械的に生成して追加データを作成し、
前記第1訓練データと前記追加データとを組み合わせて第2訓練データを作成し、
前記第2訓練データを用いて機械学習モデルを訓練する
処理をコンピュータに実行させることを特徴とする、情報処理プログラム。 Using the first machine learning model trained with the first training data, mechanically generating meaningless data as initial values to create additional data,
Combining the first training data and the additional data to create second training data;
An information processing program for causing a computer to execute a process of training a machine learning model using the second training data. 前記第2訓練データを用いた前記機械学習モデルの訓練は、前記第2訓練データを用いた前記第1機械学習モデルの再訓練である
ことを特徴とする、請求項1記載の情報処理プログラム。 2. The information processing program according to claim 1, wherein the training of said machine learning model using said second training data is retraining of said first machine learning model using said second training data. 前記追加データを最適化手法を用いて生成する
処理を前記コンピュータに実行させることを特徴とする、請求項1または2に記載の情報処理プログラム。 3. The information processing program according to claim 1, causing said computer to execute a process of generating said additional data using an optimization method. 前記第1訓練データに対する前記追加データの割合が所定値となるように、前記第1訓練データおよび前記追加データの少なくとも一方に、アップサンプリングもしくはダウンサンプリングを行なう
処理を前記コンピュータに実行させることを特徴とする、請求項1~3のいずれか1項に記載の情報処理プログラム。 causing the computer to perform upsampling or downsampling of at least one of the first training data and the additional data so that the ratio of the additional data to the first training data is a predetermined value. The information processing program according to any one of claims 1 to 3, wherein: 第1訓練データによって訓練済みの第1機械学習モデルを用いて、意味のないデータを初期値として機械的に生成して追加データを作成し、
前記第1訓練データと前記追加データとを組み合わせて第2訓練データを作成し、
前記第2訓練データを用いて機械学習モデルを訓練する
処理をコンピュータが実行することを特徴とする情報処理方法。 Using the first machine learning model trained with the first training data, mechanically generating meaningless data as initial values to create additional data,
Combining the first training data and the additional data to create second training data;
An information processing method, wherein a computer executes a process of training a machine learning model using the second training data. 第1訓練データによって訓練済みの第1機械学習モデルを用いて、意味のないデータを初期値として機械的に生成して追加データを作成する追加データ作成部と、
前記第1訓練データと前記追加データとを組み合わせて第2訓練データを作成する第2訓練データ作成部と、
前記第2訓練データを用いて機械学習モデルを訓練する第2訓練実行部と
を備えることを特徴とする情報処理装置。 an additional data creation unit that creates additional data by mechanically creating meaningless data as initial values using the first machine learning model trained with the first training data;
a second training data creation unit that creates second training data by combining the first training data and the additional data;
and a second training execution unit that trains a machine learning model using the second training data.
JP2021012143A 2021-01-28 2021-01-28 Information processing program, information processing method, and information processing device Pending JP2022115518A (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2021012143A JP2022115518A (en) 2021-01-28 2021-01-28 Information processing program, information processing method, and information processing device
EP21213116.3A EP4036776A1 (en) 2021-01-28 2021-12-08 Information processing program, information processing method, and information processing apparatus
US17/554,048 US20220237512A1 (en) 2021-01-28 2021-12-17 Storage medium, information processing method, and information processing apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021012143A JP2022115518A (en) 2021-01-28 2021-01-28 Information processing program, information processing method, and information processing device

Publications (1)

Publication Number Publication Date
JP2022115518A true JP2022115518A (en) 2022-08-09

Family

ID=78824892

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021012143A Pending JP2022115518A (en) 2021-01-28 2021-01-28 Information processing program, information processing method, and information processing device

Country Status (3)

Country Link
US (1) US20220237512A1 (en)
EP (1) EP4036776A1 (en)
JP (1) JP2022115518A (en)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7151500B2 (en) 2019-01-18 2022-10-12 富士通株式会社 LEARNING METHOD, LEARNING PROGRAM AND LEARNING DEVICE
JP7020438B2 (en) 2019-01-18 2022-02-16 オムロン株式会社 Model generator, model generation method, model generation program, model generation system, inspection system, and monitoring system

Also Published As

Publication number Publication date
EP4036776A1 (en) 2022-08-03
US20220237512A1 (en) 2022-07-28

Similar Documents

Publication Publication Date Title
Bozkir et al. Catch them alive: A malware detection approach through memory forensics, manifold learning and computer vision
US10373312B2 (en) Automated skin lesion segmentation using deep side layers
WO2018179765A1 (en) Information processing device, information processing method, and computer-readable storage medium
JP2018173843A (en) Information processing device, information processing method, and program
JP2023506169A (en) Formal Safe Symbolic Reinforcement Learning for Visual Input
JP2018194974A (en) Information processing device, information processing system, information processing program, and information processing method
JP2022115518A (en) Information processing program, information processing method, and information processing device
Tasnimi et al. Diagnosis of anomalies based on hybrid features extraction in thyroid images
JP6892844B2 (en) Information processing device, information processing method, watermark detection device, watermark detection method, and program
US20220215228A1 (en) Detection method, computer-readable recording medium storing detection program, and detection device
JP2023154373A (en) Information processing apparatus
WO2023127062A1 (en) Data generation method, machine learning method, information processing device, data generation program, and machine learning program
WO2023188354A1 (en) Model training method, model training program, and information processing device
Weiss et al. Ezclone: Improving dnn model extraction attack via shape distillation from gpu execution profiles
JP7294384B2 (en) Information processing device, information processing method and program
JP7485036B2 (en) INFERENCE DEVICE, INFERENCE METHOD, AND PROGRAM
US20230237036A1 (en) Data modification method and information processing apparatus
JP7322358B2 (en) Information processing program, information processing method, and information processing apparatus
JP7485034B2 (en) INFERENCE DEVICE, INFERENCE METHOD, AND PROGRAM
JP2022035432A (en) Information processing program, information processing method and information processing device
US20230316731A1 (en) Information processing apparatus, information processing method, and non-transitory computer-readable storage medium
JP7367859B2 (en) Learning device, trained model generation method, classification device, classification method, and program
WO2024075162A1 (en) Image restoration device, image restoration method, and image restoration program
US20220092260A1 (en) Information output apparatus, question generation apparatus, and non-transitory computer readable medium
WO2023188241A1 (en) Generation method, generation program, and information processing device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20231012